加密：测试字符串是否正确解密？

Question

这是一个理论，不仅适用于 PHP，而且可能适用于更多语言。

假设我使用 mcrypt 库和 AES-256 密码对字符串进行加密。加密后的字符串现在看起来类似于 àªÆ{”ò(ü´îÚÜÇW¹ËŸK̿L'rø?ª¶!JF£º+Œ'Ú'‚。

如果加密密钥在解密和加密的事件，解密的结果显然毫无价值。
由于加密的字符串至少对我来说包含随机字符，因此对其进行某种测试以确保它处于加密/解密状态并不容易。

我花了一些时间思考。 如何测试字符串是否已正确解密？
如果我在首先加密原始字符串之前在原始字符串中附加一个小前缀，然后在解密时删除该前缀会怎么样？如果没有找到这个前缀，就可以肯定地说解密失败。

这是处理这个问题的适当方法吗？

Answer 1

要测试数据完整性，您需要消息身份验证代码 (MAC)。

有一些独立的 MAC 算法，它们看起来像带有密钥的哈希函数。非常标准的 MAC 算法是 HMAC （使用哈希函数）。

由于您还对数据进行加密，因此您将需要使用内置 MAC 的加密模式；有一些这样的模式，例如 GCM 或 EAX。这些模式适用于分组密码，通常是 AES。

在加密前给数据添加已知的前缀或后缀就是自制的MAC。 MAC 很微妙且容易出错。例如，如果您添加 CRC32，然后使用流密码（或 CTR 模式下的分组密码）进行加密，那么您将复制 WEP 的七大罪过（特别参见第 4 节，关于 CRC32-as-MAC 问题）。基本上你的完整性检查不再能抵抗主动攻击；您只是检测到无害的错误，例如使用了错误的密钥。

（不幸的是，MCrypt 似乎不支持任何组合加密/MAC 模式。PHP 本身在使用 --with-mhash 选项编译时，提供了 mhash()实现原始哈希和 HMAC 的函数。）

Answer 2

如何测试字符串是否已正确解密？

“小前缀”的想法应该没问题；也是 @CodeInChaos 的好主意。除此之外，以某种定义的格式存储字符串（例如 serialize() 或 json_encode()）并且无法恢复它（unserialize() >, json_decode()) 也表明解密已损坏。